Email là một trong những con đường phát tán mã độc khá hiệu quả, và cho tới nay vẫn được kẻ xấu sử dụng rộng rãi. Đã có những thời, email giúp kẻ xấu phát tán mã độc lên hàng triệu máy tính trên toàn thế giới, chẳng hạn như thời của MyDoom, Brontok…Tuy nhiên, qua thời gian, với nỗ lực cảnh báo của các hãng an ninh, phương thức đính kèm virus vào email không còn đạt hiệu quả như trước. Người dùng đã cảnh giác hơn với những email có đính kèm file không rõ nguồn gốc, để ý hơn tới phần mở rộng của file cho dù file đó có icon của các định dạng quen thuộc như .doc, .pdf, .jpg,…

Thực tế này đã buộc kẻ xấu phải tìm ra những phương thức mới để phát tán virus. Một trong số đó là lợi dụng kỹ thuật RLO (Right to Left Override – Đảo ngược Phải sang Trái) trong cách đặt tên file để giấu phần mở rộng của file, khiến người sử dụng nhầm tưởng đó là các file văn bản (.doc, .pdf, …) hay file ảnh (.jpg, .bmp, …).

Vậy bản chất của hiện tượng này là gì? Đối với các ngôn ngữ đọc từ phải sang trái (như tiếng Ả Rập…), Microsoft hỗ trợ việc hiển thị ngược xâu ký tự bằng cách thêm mã unicode U+202E vào trước xâu đó. Ví dụ, sau khi thêm mã U+202E vào trước kí tự “c” của file có tên XXXcod.exe, Windows sẽ hiển thị tên file thành XXXexe.doc. Và nếu kẻ xấu giả mạo cả icon file .doc nữa thì liệu bạn có mảy may nghi ngờ hay lập tức mở file ra xem?

Đây thực chất là 1 file virus

Có thể thấy đây là kỹ thuật khá tinh vi, và nếu không thực sự chú ý thì kể cả các chuyên gia cũng có thể bị lừa bởi những dòng virus này. Để không bị rơi vào bẫy của kẻ xấu, người sử dụng nên kiểm tra thuộc tính của file trước khi quyết định có chạy file hay không. Nếu file có định dạng của file thực thi (.exe, .scr, .pif,…) nhưng lại được hiển thị với phần mở rộng của một dịnh dạng file khác, đó chính là virus.

Đơn giản hơn, bạn có thể chạy các file nhận được trong Sandbox để được an toàn. Tốt hơn hết, bạn nên cài đặt 1 phần mềm diệt virus có bản quyền đủ mạnh để bảo vệ máy tính của bạn một cách toàn diện.

Phạm Tuấn Vũ – Bkav R&D

Trackback URI | Comments RSS